Il 02/03/2013 15.25, Stefano Zanero ha scritto:
On 03/02/13 10:26, Rosario Russo wrote:
No, perche' se fosse un titolare autonomo dovrebbe informare
l'interessato ed eventualmente raccogliere il consenso. La nomina a
Quindi, secondo te, e' sufficiente un contratto tra titolare e azienda
terza, SENZA nomine di alcun tipo,
Esatto. Se l'obiettivo comunque e' quello di sanzionare le violazioni,
cio' lo ottieni anche senza nomine. Come ho gia' scritto piu' volte,
la legge punisce "chiunque" la dovesse violare, indipendentemente dal
suo incarico, dal suo ruolo e dalla sua posizione.
e SENZA che il terzo in questione
provveda a soddisfare i requisiti di legge come titolare autonomo?
No, questo no. Non e' necessario che io dica ad un terzo che deve
soddisfare la legge sulla privacy, visto che ricade in capo ad OGNI
soggetto che tratta dati personali l'obbligo del rispetto. Altrimenti,
dovrei anche dirgli di non uccidere nessuno e di non rubare, magari
allegandogli tutto il codice civile e penale...
Ad ulteriore conforto di questa mia tesi, ricordo che nel fac simile
del DPS redatto dallo stesso Garante, nel capitolo "Trattamenti
affidati all'esterno (regola 19.7)", si leggeva: "Descrizione dei
criteri: perché sia garantito un adeguato trattamento dei dati è
necessario che la società a cui viene affidato il trattamento rilasci
specifiche dichiarazioni o documenti, oppure assuma alcuni impegni
anche su base contrattuale, con particolare riferimento, ad esempio, a:
1. trattamento di dati ai soli fini dell'espletamento dell'incarico
ricevuto;
2. adempimento degli obblighi previsti dal Codice per la protezione
dei dati personali;
3. rispetto delle istruzioni specifiche eventualmente ricevute per il
trattamento dei dati personali o integrazione delle procedure già in
essere;
4. impegno a relazionare periodicamente sulle misure di sicurezza
adottate —anche mediante eventuali questionari e liste di controllo- e
ad informare immediatamente il titolare del trattamento in caso di
situazioni anomale o di emergenze." (NOTA che se il soggetto esterno
fosse un "responsabile del trattamento", l'onere di vigilare
spetterebbe al titolare, qui invece e' il soggetto esterno che e'
tenuto ad informare il titolare).
Come si puo' vedere, era lo stesso Garante a suggerire che non e'
necessaria alcuna nomina, ma solo impegni su base contrattuale,
trattandosi di "semplice" affidamento, che non prevede alcuna nomina
specifica.
Rileggerei la 196 ;-)
Be', si', forse fai bene a rileggerla! ;-)
In ogni caso, ne' la mia ne' la tua e' LA verita' assoluta, poiche' si
tratta di leggi e non di teoremi. Io credo di semplificare, pur
garantendo la tutela delle responsabilita'. Tu vuoi complicare,
ritenendo che un impegno su base contrattuale non sia sufficiente,
neppure se la legge punisce "chiunque" la violi. Insomma, preferisci
stare dalla parte dei bottoni. Male non fa, ma lo ritengo un
adempimento superfluo.
Sono interpretazioni diverse, che in ogni caso, non danneggiano - a
mio avviso - l'interessato.
Cordialmente,
Rosario Russo
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
